Oracle 2007年1月补丁程序 更新修复多个安全漏洞

受影响系统：
Oracle E-Business Suite 11i 11.5.7 - 11.5.10 CU2
Oracle E-Business Suite 11.0
Oracle Enterprise Manager Grid Control 10.2.0.1
Oracle Enterprise Manager Grid Control 10.1.0.5
Oracle Enterprise Manager Grid Control 10.1.0.4
Oracle 9i Database Server Release 2 9.2.0.8
Oracle 9i Database Server Release 2 9.2.0.7
Oracle Application Server 10g (9.0.4) 9.0.4.3
Oracle Application Server 10g (9.0.4) 9.0.4.2
Oracle Database Server 10g Release 1 10.1.0.5
Oracle Database Server 10g Release 1 10.1.0.4
Oracle Application Server 10g Release 2 10.1.2.2.0
Oracle Application Server 10g Release 2 10.1.2.1.0
Oracle Application Server 10g Release 2 10.1.2.0.0 - 10.1.2.0.2
Oracle Database 10g Release 2 10.2.0.3
Oracle Database 10g Release 2 10.2.0.2
Oracle Database 10g Release 2 10.2.0.1
Oracle Application Server 10g Release 3 10.1.3.1.0
Oracle Application Server 10g Release 3 10.1.3.0.0
Oracle Identity Management 10g 10.1.4.0.1
Oracle PeopleSoft Enterprise PeopleTools 8.48
Oracle PeopleSoft Enterprise PeopleTools 8.47
Oracle PeopleSoft Enterprise PeopleTools 8.22

描述：
Oracle Database是一款商业性质大型数据库系统。

Oracle发布了2007年1月的紧急补丁更新公告，修复了多个Oracle产品中的多个漏洞。这些漏洞影响Oracle产品的所有安全属性，可导致本地和远程的威胁。其中一些漏洞可能需要各种级别的授权，但也有些不需要任何授权。最严重的漏洞可能导致完全入侵数据库系统。目前已知的漏洞包括：

1) 如果向Oracle通知服务（ONS，默认端口6200/TCP）发送了特制报文的话，就可能触发缓冲区溢出；

2) Oracle XML DB没有正确过滤某些输入便返回给用户，可能导致在用户的浏览器会话中执行任意HTML和脚本代码；

3) DBMS_AQ_INV软件包没有正确过滤某些输入便用到了SQL查询中，导致SQL注入攻击；

4) EmChartBean中的输入验证错误可能导致通过目录遍历攻击访问Web根目录以外的文件。

厂商补丁：
Oracle已经为此发布了一个安全公告（cpujan2007）以及相应补丁:cpujan2007：Oracle Critical Patch Update - January 2007

链接：http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html?_template=/o

欢迎收藏Pc51.Net技术无忧网